Mi az az Azure HDInsight vállalati biztonsági csomagWhat is Enterprise Security Package in Azure HDInsight

Múltbeli időpont, az Azure HDInsight támogatott csak egyetlen felhasználó: helyi rendszergazdaként. Ez remekül működött a kisebb alkalmazásfejlesztő csapatoknál vagy részlegeknél.In the past, Azure HDInsight supported only a single user: local admin. This worked great for smaller application teams or departments. Ahogy az Apache Hadoop-alapú számítási feladatok nagyobb népszerűségre tettek a vállalati szektorban, szükség van a nagyvállalati szintű szolgáltatásokat, például az Active Directory-alapú hitelesítéshez, többfelhasználós támogatja, és a szerepköralapú hozzáférés-vezérlés egyre inkább fontosabbá váltak.As Apache Hadoop-based workloads gained more popularity in the enterprise sector, the need for enterprise-grade capabilities like Active Directory-based authentication, multi-user support, and role-based access control became increasingly important.

Létrehozhat egy HDInsight-fürtöt a vállalati biztonsági csomag (ESP), amely egy Active Directory-tartományhoz csatlakozik.You can create an HDInsight cluster with Enterprise Security Package (ESP) that's joined to an Active Directory domain. Konfigurálhatja a vállalati alkalmazottak, akik hitelesíthetnek az Azure Active Directoryban való bejelentkezéshez a HDInsight-fürt listáját.You can then configure a list of employees from the enterprise who can authenticate through Azure Active Directory to sign in to the HDInsight cluster. Egyetlen a vállalaton kívülre bejelentkezés vagy a HDInsight-fürt eléréséhez.No one from outside the enterprise can sign in or access the HDInsight cluster.

A vállalati rendszergazda konfigurálhatja szerepköralapú hozzáférés-vezérlés (RBAC) az Apache Hive-biztonsághoz használatával Apache Ranger.The enterprise admin can configure role-based access control (RBAC) for Apache Hive security by using Apache Ranger. RBAC konfigurálása korlátozza az adatok elérése csak akkor szükséges.Configuring RBAC restricts data access to only what's needed. Végül a rendszergazda naplózhatja az alkalmazottak és bármely változtatást a hozzáférés-vezérlési házirendeket adatelérési.Finally, the admin can audit the data access by employees and any changes done to access control policies. A rendszergazda egy magas szintű a vállalati erőforrásokat, majd érheti el.The admin can then achieve a high degree of governance of their corporate resources.

Az Apache Oozie engedélyezve van a ESP-fürtökön.Apache Oozie is now enabled on ESP clusters. Hozzáférhet az Oozie webes felület, engedélyezze a felhasználók tunneling.To access the Oozie web UI, users should enable tunneling.

Vállalati biztonság négy fő alappillérét tartalmazza: szegélyhálózat-alapú biztonság, hitelesítés, engedélyezés és titkosítás.Enterprise security contains four major pillars: perimeter security, authentication, authorization, and encryption.

A vállalati biztonság négy alappillérét vállalati biztonsági csomag HDInsight-fürtök előnyei..

Szegélyhálózat-alapú biztonságPerimeter security

A HDInsight szegélyhálózat-alapú biztonság virtuális hálózatok és az Azure VPN Gateway szolgáltatás keresztül érhető el.Perimeter security in HDInsight is achieved through virtual networks and the Azure VPN Gateway service. Vállalati rendszergazda létrehozhat egy ESP-fürt virtuális hálózaton belül és használja a hálózati biztonsági csoportok (tűzfalszabályok) a virtuális hálózathoz való hozzáférés korlátozásához.An enterprise admin can create an ESP cluster inside a virtual network and use network security groups (firewall rules) to restrict access to the virtual network. Csak a bejövő tűzfalszabályokban megadott IP-címeket fog tudni kommunikálni a HDInsight-fürt.Only the IP addresses defined in the inbound firewall rules will be able to communicate with the HDInsight cluster. Ez a konfiguráció a szegélyhálózat-alapú biztonságot nyújt.This configuration provides perimeter security.

Szegélyhálózat-alapú biztonsági réteget a VPN-átjáró szolgáltatáson keresztül érhető el.Another layer of perimeter security is achieved through the VPN Gateway service. Az átjáró védelmet biztosít a HDInsight-fürthöz érkező bármely kérés az első sorában funkcionál.The gateway acts as first line of defense for any incoming request to the HDInsight cluster. Azt fogadja a kéréseket, ellenőrzi, és csak ezután lehetővé teszi, hogy a kérelem átadása a fürt más csomópontjaira.It accepts the request, validates it, and only then allows the request to pass to the other nodes in cluster. Ezzel a módszerrel az átjáró biztosítja a fürt más név- és adatcsomópontok szegélyhálózat-alapú biztonságát.In this way, the gateway provides perimeter security to other name and data nodes in the cluster.

HitelesítésAuthentication

Vállalati rendszergazda és az ESP hozhat létre egy HDInsight-fürtöt egy virtuális hálózat.An enterprise admin can create a HDInsight cluster with ESP in a virtual network. A HDInsight-fürt összes csomópontján csatlakozott a tartományhoz, a vállalat által kezelt.All the nodes of the HDInsight cluster are joined to the domain that the enterprise manages. Ez a gazdafájlon keresztül a Azure Active Directory Domain Services.This is achieved through the use of Azure Active Directory Domain Services.

Ezzel a beállítással a vállalat alkalmazottai jelentkezhetnek be a fürtcsomópontok tartományi hitelesítő adataik használatával.With this setup, enterprise employees can sign in to the cluster nodes by using their domain credentials. Tartományi hitelesítő adataik egyéb engedélyezett végpontokban, mint például az Apache Ambari Views, ODBC, JDBC, PowerShell és REST API-k kommunikáljanak a fürttel való hitelesítéshez szolgáltatást is alkalmazhatja.They can also use their domain credentials to authenticate with other approved endpoints like Apache Ambari Views, ODBC, JDBC, PowerShell, and REST APIs to interact with the cluster. A rendszergazda teljes mértékben vezérelheti a felhasználók száma, akik a fürt ezen végpontokon keresztül kommunikálhat.The admin has full control over limiting the number of users who interact with the cluster via these endpoints.

EngedélyezésAuthorization

Amely a legtöbb vállalat kövesse az ajánlott eljárás, hogy így arról, hogy nem minden alkalmazott rendelkezik-e az összes vállalati erőforrásokhoz való hozzáférést.A best practice that most enterprises follow is making sure that not every employee has access to all enterprise resources. Hasonlóképpen a rendszergazda meghatározhatja a szerepköralapú hozzáférés-vezérlési házirendeket, a fürt erőforrásaihoz.Likewise, the admin can define role-based access control policies for the cluster resources.

Például, a rendszergazda konfigurálhatja az Apache Ranger keretrendszert, hogy beállítsa a Hive hozzáférés-vezérlés házirendjét.For example, the admin can configure Apache Ranger to set access control policies for Hive. Ez a funkció biztosítja, hogy alkalmazottai érhessék el csak annyi adathoz kell lenniük a munkájuk sikerességéhez.This functionality ensures that employees can access only as much data as they need to be successful in their jobs. A fürthöz SSH-hozzáférés csak a rendszergazda is korlátozódik.SSH access to the cluster is also restricted to only the administrator.

NaplózásAuditing

A fürt erőforrásainak és az adatok hozzáférésének naplózása szükség, nyomon követéséhez az illetéktelen vagy nem szándékos hozzáférések az erőforrásokhoz.Auditing of all access to the cluster resources, and the data, is necessary to track unauthorized or unintentional access of the resources. Olyan fontos, mint a HDInsight-fürt erőforrásainak védelme a jogosulatlan felhasználók és az adatok védelme.It's as important as protecting the HDInsight cluster resources from unauthorized users and securing the data.

A rendszergazda megtekintheti és jelentheti az összes hozzáférést a HDInsight-fürt erőforrásainak és az adatokat.The admin can view and report all access to the HDInsight cluster resources and data. A rendszergazda megtekintheti és jelentheti a hozzáférés-vezérlési házirendeket, az Apache Ranger által támogatott végpontokban létrehozott összes módosítást.The admin can also view and report all changes to the access control policies created in Apache Ranger supported endpoints.

ESP HDInsight fürtök a jól ismert Apache Ranger felhasználói Felületet használja a keresésre a naplókban.A HDInsight cluster with ESP uses the familiar Apache Ranger UI to search audit logs. A háttérben a Ranger használ Apache Solr tárolására, és a keresésre a naplókban.On the back end, Ranger uses Apache Solr for storing and searching the logs.

EncryptionEncryption

Az adatok védelmének fontos értekezlet szervezeti biztonsági és megfelelőségi követelményeknek.Protecting data is important for meeting organizational security and compliance requirements. Adatok elérésének korlátozásával illetéktelen alkalmazottak, együtt kell titkosítás.Along with restricting access to data from unauthorized employees, you should encrypt it.

A HDInsight-fürtök esetén az Azure Blob storage és az Azure Data Lake Storage Gen1 és Gen2, mindkét adattárak támogatja a transzparens kiszolgálóoldali az adatok titkosítása az inaktív.Both data stores for HDInsight clusters, Azure Blob storage and Azure Data Lake Storage Gen1/Gen2, support transparent server-side encryption of data at rest. Biztonságos HDInsight-fürtök zökkenőmentesen működnek a kiszolgálóoldali titkosítást az adatok képesség inaktív.Secure HDInsight clusters will seamlessly work with this capability of server-side encryption of data at rest.

További lépésekNext steps